Trojaner-Board - Festplattenproblem nach Avira Free Antivirus-Meldung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Festplattenproblem nach Avira Free Antivirus-Meldung (https://www.trojaner-board.de/110295-festplattenproblem-avira-free-antivirus-meldung.html)

Festplattenproblem nach Avira Free Antivirus-Meldung

Hallo,

ich habe ein Problem mit meinem Laptop, ich bekomme ständig Fehlermeldungen, z. B.:
"Files indexation process failed"
"RAM memory reliability is extremly low"
"Critical Error: Windows OS can't detect a free hard drive space"
"Hard drive clusters are partly damaged. Segment load failure"

und dann noch dauernd 10-20 Fenster mit der Meldung:
"Failed to save all components for the file \\System32\\00005190. The file is corrupted or unreadable. This error may be caused by a PC hardware problem"
-> statt 00005190 stehen da auch noch andere Dateinamen

Außerdem sind (fast) alle Ordner "versteckt" worden und der Desktophintergrund war schwarz, außerdem ist mein Startmenü im Eimer (auch "Computer", "Systemsteuerung", etc. ist nicht ehr zu sehen), ich habe gestern viel Zeit damit zugebracht, einige Ordner wieder sichtbar zu machen, nach einem Neustart waren sie wieder "versteckt" und von mir geänderte Desktophintergrund war wieder schwarz.

Ansonsten scheint alles noch da zu sein, iTunes funktioniert auch, etc..

Das Problem hat gestern begonnen, als mir beim surfen mein Avira Free Antivirus einen Fund meldete, und gleich darauf noch einen. Ich habe beide Male auf "Entfernen" geklickt und habe den Inet-Explorer neu gestartet und die letzte Sitzung wieder hergestellt, prompt das gleiche. Nachdem ich erneut auf "Entfernen" geklickt habe, hat mein PC alle Programme beendet, ich hatte einige der obigen Fehlermeldungen und ein Fenster "System-Check" hat sich geöffnet, was sich auch nicht schließen lässt. Das hat mir einige Probleme gemeldet, die es auch nicht reparieren konnte, ich sollte mir eine Vollversion kaufen... ka was das genau für ein Programm ist, ich hab das erstmal weggeschoben und mich mit den anderen Sachen beschäftigt.
Seitdem bekomme ich in schöner Wiederholung all die obigen Fehlermeldungen auf den Bildschirm, und ich habe keinen Plan, was ich da jetzt machen soll...
In diesem Thread:

http://www.trojaner-board.de/98049-w...iert-mehr.html

habe ich den Hinweis gefunden, erstmal einen Scan mit Malewarebytes zu machen und dann mit OTL.
Das habe ich gemacht
Die Logdateien habe ich mit hochgeladen.

Malwarebytes hat 3 Dateien gefunden, die ich entfernt habe (sind jetzt in Quarantäne oder so)
Nach dem OTL Scan erchienen wieder einige Verknüpfungen auf dem Desktop, allerdings nur blass.

Die Fehlermeldungen halten an.

Ich habe auch bereits ein wenig Platz geschaffen, da meine 250 GB Festplatte fast voll war, um ein wenig Polster zu haben (~10GB), aber das hat auch nicht viel gebracht.
Im Moment scheint alles zu laufen, aber die dauernden Fehlermeldungen machen mir Sorgen, und auch die Tatsache mit den versteckten Ordnern und Dateien.

Ich hoffe, ihr könnt mir helfen

mfG

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Danke für deine Antwort :)

Nee, das war mein erster wirklicher Scan mit Malwarebytes.
Ich hatte aus Versehen einen Quickscan gestartet, den ich abgebrochen habe. Wenn du das Log auch haben möchtest, kann ich das auch noch hochladen in einem neuen Post, da ich im Moment an nem "gesunden" PC sitze.
Kannte das Programm vorher gar nicht.

Im Moment versuche ich das ganze nochmal mit der Kaspersky Testversion Anti-Virus 2012 zu scannen, habe aber auch keine Idee, wie es dann weitergeht.

Was ich fast vergessen hätte: Ich benutze Vista 32bit

Ich hoffe, du kannst mir helfen.

mfG

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Okay, das werde ich heute Abend mal machen. Noch eine blöde Frage:
Was genau macht mich zum IE- oder FF-User? Ich benutze zwar meistens Firefox, aber auch manchmal den IE.
Mache ich das richtig, wenn ich mit Firefox online gehe, dann auf den Link klicke und mir esetsmartinstaller_enu.exe heurnterlade?
Danke im Voraus.
P.S.: Hättest du das log lieber im Anhang oder in

Code:

log

mfG

Log am besten immer in CODE-Tags

So, beim zweiten Anlauf, habe ich es auch geschafft, das ganze als admin auszuführen. Leider habe ich den Browser zu früh geschlossen, ich werde das Ding nochmal laufen lassen, zur Sicherheit. Das Log des letzten Durchlaufs ist hier.
Ist das eigentlich normal, dass ESET so lange für das letzte Prozent braucht? (>4h)
Ist mir nur aufgefallen.
Auf jeden Fall hat er was gefunden, ka was ich jetzt damit machen soll^^

Code:

ESETSmartInstaller@High as downloader log:

all ok

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=53251

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=9ef3c3902ad454439297ef83a0adff28

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-02-24 02:50:40

# local_time=2012-02-24 03:50:40 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.0.6001 NT Service Pack 1

# compatibility_mode=1280 16777215 100 0 12035 12035 0 0

# compatibility_mode=5892 16776573 100 100 13949 167567729 0 0

# compatibility_mode=8192 67108863 100 0 9828 9828 0 0

# scanned=246020

# found=8

# cleaned=0

# scan_time=16813

C:\ProgramData\4FM90s4Px3hoPw.exe        a variant of Win32/Kryptik.ABDT trojan (unable to clean)        00000000000000000000000000000000        I

C:\ProgramData\DvhhCCFbLujqW.exe        a variant of Win32/Kryptik.ABDT trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\All Users\4FM90s4Px3hoPw.exe        a variant of Win32/Kryptik.ABDT trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\All Users\DvhhCCFbLujqW.exe        a variant of Win32/Kryptik.ABDT trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\****\AppData\Local\Temp\faZlLfb6Wu7TVi.exe.tmp        a variant of Win32/Kryptik.ABDT trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\****\AppData\Local\Temp\Photo.class        Java/TrojanDownloader.Agent.AD trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\b194f87-4bf3fab4        Java/TrojanDownloader.Agent.AD trojan (unable to clean)        00000000000000000000000000000000        I

${Memory}        multiple threats        00000000000000000000000000000000        I

Hier auch nochmal das Log des ersten, abgebrochenen Malwarebytes-Scan, zur Sicherheit:

Code:

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.02.21.06
 

Windows Vista Service Pack 1 x86 NTFS

Internet Explorer 8.0.6001.19088

**** :: ****-PC [Administrator]
 

22.02.2012 03:38:25

mbam-log-2012-02-22 (03-38-25).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 1414

Laufzeit: 1 Minute(n), 27 Sekunde(n) [Abgebrochen]
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Und zuletzt noch die Anzeige von msinfo32

Code:

Betriebssystemname        Microsoft® Windows Vista™ Business

Version        6.0.6001 Service Pack 1 Build 6001

Zusätzliche Betriebssystembeschreibung         Nicht verfügbar

Betriebssystemhersteller        Microsoft Corporation

Systemname        ****-PC

Systemhersteller        Sony Corporation

Systemmodell        VGN-SR19VN

Systemtyp        X86-basierter PC

Prozessor        Intel(R) Core(TM)2 Duo CPU     P8400  @ 2.26GHz, 2267 MHz, 2 Kern(e), 2 logische(r) Prozessor(en)

BIOS-Version/-Datum        American Megatrends Inc. R0280Y1, 05.06.2008

SMBIOS-Version        2.4

Windows-Verzeichnis        C:\Windows

Systemverzeichnis        C:\Windows\system32

Startgerät        \Device\HarddiskVolume2

Gebietsschema        Deutschland

Hardwareabstraktionsebene        Version = "6.0.6001.18000"

Benutzername        ****-PC\****

Zeitzone        Mitteleuropäische Zeit

Installierter physikalischer Speicher (RAM)        4,00 GB

Gesamter realer Speicher        2,97 GB

Verfügbarer realer Speicher        1,28 GB

Gesamter virtueller Speicher        6,13 GB

Verfügbarer virtueller Speicher        4,36 GB

Größe der Auslagerungsdatei        3,26 GB

Auslagerungsdatei        C:\pagefile.sys

P.S.: Ich habe jetzt Kaspersky Anti-Virus 2012 Testversion installiert (natürlich den Haken bei "Schutz aktivieren" entfernt während des Scans).
Malwarebytes musste ich heute neu installieren (weiß leider nicht, ob Kaspersky das deinstalliert hat oder obs einfach so verschwunden ist).

Sry für Doppelpost.
Ich wollte nur noch sagen, ich werde einen zweiten Scan erst heute abend schaffen.
Vielleicht ist der auch gar nicht nötig, ich weiß nicht, wie wichtig es ist, den Browser nicht zu schließen, da kenne mich nicht aus, es hat mich aber verwirrt, dass das am Ende explizit stand.
Naja, sag bitte Bescheid, ob ich nochmal scannen soll oder nicht.

Danke im Voraus

Als Hinweise noch: Ich befinde mich im Moment immer im normalen Windows-Modus, also nicht abgesichert.
Außerdem habe ichnoch ein paar Daten auf dem Rechner, die ich ungern verlieren würde, die habe ich auch noch nicht gesichert. (Ich weiß, dass das vermutlich bissl blöd war/ist)
Ich bin mir nicht ganz sicher, ob ich die Daten einfach so kopieren kann, ich wollte nach Möglichkeit die ganze Malware nicht mitkopieren, auf eine externe Festplatte oder auf CDs.
Bin ziemlich verunsichert, was ich mit den Daten machen soll, was würdest du mir raten?

mfG

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://partedmagic.com/lib/exe/fetch...ia=desktop.png

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

Okay, werde ich heute noch machen, dann halte ich mich an Ubuntu.
Doch nur nochmal zum Verständnis:
1. Die CD erstelle ich an einem sauberen Rechner, oder?
2. Was ist mit den Funden von ESET etc.? Können die sich nicht in .xls, .doc,.mp3,.m4a, etc einnisten?
3. Welche Dateien sind denn alle ausführbar? Ich kenne da nur .exe und .vbs, wie sieht es mit Archiven aus? Kommt es da auf den Inhalt an?
4. Bei einer Neuistallation wird die Festplatte doch formatiert und alle Malware ist weg, oder?

Sorry, ich kenne mich da nicht so gut aus.

Danke auf jeden Fall schonmal, ich hoffe, das klappt alles :)

mfG

Zitat:

1. Die CD erstelle ich an einem sauberen Rechner, oder?

Notfalls an diesem. Windows-Schädlinge sollten eigentlich NICHT auf die CD überspringen und auch nicht auf einem Linux greifen. Aber nur wenn du keinen sauberen Rechner hast.

Zitat:

2. Was ist mit den Funden von ESET etc.? Können die sich nicht in .xls, .doc,.mp3,.m4a, etc einnisten?

Bestimmte Schädlinge können auch Datendateien infizieren. Aber was ist deine Alternative: willst du alles wegwerfen? Hast du ein halbwegs aktuelles Backup ALLER Daten?

Zitat:

wie sieht es mit Archiven aus? Kommt es da auf den Inhalt an?

Zitat:

4. Bei einer Neuistallation wird die Festplatte doch formatiert und alle Malware ist weg, oder?

So, ich habe meinen Laptop mit Kaspersky durchsucht, der hat nochmal einige Schädlinge entfernt und mit "Wiederherstellung nach Infektion" das System erstmal repariert.
Ich hoffe, ich habe da nicht voreilig gehandelt.
Die Fehlermeldungen sind weg, es scheint auf jeden Fall deutlich besser zu sein.
Ich werde dennoch das System nochmal neu installieren und davor die Daten sichern.
Ich habe außerdem ein Ubuntu-Image erstellt, auf einem anderen PC, den ich vorher auch noch mit Kaspersky gescannt habe.

Soll ich auf dem Laptop nochmal ESET laufen lassen oder nicht?
Wie sieht es mit Speicherdateien von Spielen aus? Kann ich die auch mit überspielen ohne erhöhtes Risiko? Wäre gut, damit ich nicht überall nochmal von vorn anfangen muss.

mfG

Zitat:

Ich hoffe, ich habe da nicht voreilig gehandelt.

Da du nicht schreibst was gefunden wurde werden wir das niemals erfahren :glaskugel:

Ich bin mir nicht sicher, aber erstellt Kaspersky überhaupt Logs im klassischen Sinne?
Ansonsten kann ich dir sagen, was an Dateien als Bedrohung erkannt wurde.

Wenn du mal im Programm nachsehen könntest :pfeiff: